入侵者行为的跟踪.pdfVIP

入侵者行为的跟踪 范晓岚 中国工程物理研究院信息安全技木中心 摘要：本文针对如何跟踪入侵者的行为进行了阐述．介绍了利用日志审计发现入侵、 通过同络追查定位{：l及设置陷阱(Tr印)主动跟踪的方法． 关铡I词：入侵跟踪审计 一、前言 当前，伴随着网络技术的不断发展、网络应用的逐步普及，网络安全 闯题已引起社会的普遍关注。通过偷窃密码、非法进入电话系统和IP欺 骗等手段。熏客正在不断的偷窃网络内部宝贵的数据资料．一个网络如果 想要得到高水平的安全保护，不仅要具备监视同络和识别攻击信号，做到 及时的反应和保护的能力，而且还需要对入侵者的破坏行为进行有效的跟 踪和分析． +、 入侵者的跟踪(1n虮Idermcing)是根据记录证据获得入侵者信息的 途径．寻找入经者的踪迹主要从系统和同络两个方面着手，具体表现为审 查日志记录和定位入授者，其中，日志记录的审查工作可以在本地机器上 进行，追踪入侵者就需要通过网络延伸到很远的位置． 二、日志审计发现入侵 目前，unIx系统是Int嘲et应用最广泛的操作系统，它提供了大量 有关审计和日志的实用程序．这些系统日志记录了用户的注册信息、活动 以及系统管理员设定需要记录的任何操作．为日后追踪安全侵害和入侵力 度提供非常有价值的信息，通过审查目击记录，系统管理员可以侦察出可 疑的入侵企图和入侵行为。具体可利用系统日志、进程记帐和审计工具等 得到相应的线索： 1．系统日志 ◆Lasaog、sysIog、sulog、acuIog的记录 60 ●。。。。。。。。。。。。。。；|，lfffl_}，f}i{f_j√}}f}} Lastlog记录每个用户的最近一次登录时间和所使用的终端号； sysIog是一个消息日志工具，可通过查阅～州adn慨essages文件得 到： sulog记录使用su命令切换用户的情况．它在／var／admin目录下； Aculog记录用户使用拨号服务呼叫的情况，一般在，var／adn池culog 中。 夺com日志 com的日志保存在～ar门og，com文件中．当入侵者利用com实用程序 获得更高权限时，将被其日志记录在案。 夺un佃和wTMP记录的系统信息 uTMP文件记录以前登录到系统中的所有用户的有关信息，而WTMP 记录用户登录和退出事件，可以利用w、who、Iast等命令查看有关信息： w命令给出有关系统平均负载(即使用系统资源的程度)的信息，当 有人在猜测Dassword时，将会大大增加系统的平均负载： wh0命令可用来查看登录划系统中的所有用户； I“t命令可以按照逆序显示明户登录和退出事件的列表。 夺 sendmail、UUCP、LPD、疗p、H1TPD和H；sto叫日志 sendmail日志记录关于maiJ的消息，它在sysJog中记录： uucP日志文件s岿log包括有关文件传送统计数字、用户名与站点、 时间等有关的信息； LPD日志是处理打印机的日志，一殷在／v驯adrn，lpd-e玎S中记录，重 点需要关注的是没有使用行式打印机守护程序而进入系统的条目； 却日志记录有关f审的连接； H1ⅥD日志记录每一次web访问的错误信息和访问信息： History日志是shelI历史目志．它保存了用户晟近输入命令的记录， 可通过HiSlo叫命夸来查看它的内容。 2．进程记帐(Process Accou眦ing) unix系统可以通过设置选项来让核心在每个进程结束时产生一个记 录。这些记录所产生的报告被称为进程记帐。它包括进程使用资源的信息， 以及所执行的命令名。系统管理员可根据进程记帐观察某一用户执行了哪 些命令。 ， 进程记帐可以在系统启动时用accton日志文件名命令启用，用 不带参数的accton关闭． 命令i越tcomm按照一定的格式输出在系统上执行的所有命令的详细 信息：而sa命令则可以产生针对用户或命令的进程记帐日志报告。 进程记帐和审